LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 26 Novembre 2025: 163 Vulnerabilità, 7 Plugin Critici Sotto Attacco

5 min di lettura
LOUD Team
Report Sicurezza WordPress – 26 Novembre 2025: 163 Vulnerabilità, 7 Plugin Critici Sotto Attacco

🚨 Allarme rosso: vulnerabilità critiche e ad alto rischio

Questa settimana sono state identificate 7 vulnerabilità critiche o ad alto rischio in plugin con oltre 10.000 installazioni attive. Alcune hanno già patch disponibili, altre no. Intervento immediato richiesto.

W3 Total Cache

  • Installazioni: 1.000.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2025-9501
  • ✅ Soluzione: Aggiorna alla versione 2.8.13

Amelia Booking

  • Installazioni: 90.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-12482
  • ✅ Soluzione: Aggiorna alla versione 1.2.36

WP Directory Kit

  • Installazioni: 3.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-13138
  • ✅ Soluzione: Aggiorna alla versione 1.4.4

Vitepos Lite

  • Installazioni: 2.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13156
  • ✅ Soluzione: Aggiorna alla versione 3.3.1

ELEX WordPress HelpDesk

  • Installazioni: 300+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-11456
  • ✅ Soluzione: Aggiorna alla versione 3.3.2

WP Dropzone

  • Installazioni: 100+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12775
  • ✅ Soluzione: Aggiorna alla versione 1.1.1

S2B AI Assistant

  • Installazioni: 70+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12973
  • ✅ Soluzione: Aggiorna alla versione 1.7.9

Code Snippets

  • Installazioni: 1.000.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2025-13035
  • ✅ Soluzione: Aggiorna alla versione 3.9.2

WP Go Maps

  • Installazioni: 300.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-11307
  • ✅ Soluzione: Aggiorna alla versione 9.0.48

WP Migrate Lite

  • Installazioni: 200.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2025-11427
  • ✅ Soluzione: Aggiorna alla versione 2.7.7

GiveWP

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13206
  • ✅ Soluzione: Aggiorna alla versione 4.13.1

Live sales notification for WooCommerce

  • Installazioni: 60.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12955
  • ✅ Soluzione: Aggiorna alla versione 2.3.40

OneClick Chat to Order

  • Installazioni: 40.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-13526
  • ✅ Soluzione: Aggiorna alla versione 1.0.9

RafflePress

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12484
  • ✅ Soluzione: Aggiorna alla versione 1.12.21

WP Import

  • Installazioni: 20.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2025-13145
  • ✅ Soluzione: Aggiorna alla versione 7.34

⛔ Plugin critici senza patch disponibile

Le seguenti vulnerabilità critiche non hanno ancora una correzione ufficiale. Se utilizzi questi plugin, considera la loro disattivazione immediata fino al rilascio di un aggiornamento di sicurezza.

Enable SVG, WebP, and ICO Upload

  • Installazioni: 10.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13069
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Mstore Mobile App

  • Installazioni: 10.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2025-11127
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Pie Forms – Drag & Drop Builder

  • Installazioni: Non specificato
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12528
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Gravity Forms

  • Installazioni: Dato non disponibile (plugin premium)
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12974
  • ✅ Soluzione: Aggiorna alla versione 2.9.22

Zegen Core

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-11087
  • ✅ Soluzione: Aggiorna alla versione 2.0.2

📋 Altri aggiornamenti importanti (gravità media)

I seguenti plugin con più di 10.000 installazioni hanno vulnerabilità di gravità media. Anche se meno urgenti, l’aggiornamento è fortemente raccomandato.

YITH WooCommerce Wishlist

  • Installazioni: 500.000+
  • Vulnerabilità: Broken Access Control + IDOR
  • CVE: 2025-12777, 2025-12427
  • ✅ Soluzione: Aggiorna alla versione 4.10.1

Royal Elementor Addons

  • Installazioni: 600.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-5092, 2025-6251
  • ✅ Soluzione: Aggiorna alla versione 1.7.1037

SiteSEO

  • Installazioni: 400.000+
  • Vulnerabilità: IDOR + Broken Authentication
  • CVE: 2025-13085, 2025-12814
  • ✅ Soluzione: Aggiorna alla versione 1.3.3

Broken Link Checker by AIOSEO

  • Installazioni: 300.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-11734
  • ✅ Soluzione: Aggiorna alla versione 1.2.6

SureForms

  • Installazioni: 300.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-12535
  • ✅ Soluzione: Aggiorna alla versione 1.13.2

Post Type Switcher

  • Installazioni: 200.000+
  • Vulnerabilità: IDOR
  • CVE: 2025-12524
  • ✅ Soluzione: Aggiorna alla versione 4.0.1

AI Engine

  • Installazioni: 100.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2025-8084
  • ✅ Soluzione: Aggiorna alla versione 3.1.9

Element Pack Addons for Elementor

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13196
  • ✅ Soluzione: Aggiorna alla versione 8.3.5

PublishPress Future

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-13149
  • ✅ Soluzione: Aggiorna alla versione 4.9.2

Responsive Lightbox & Gallery

  • Installazioni: 100.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2025-12359
  • ✅ Soluzione: Aggiorna alla versione 2.5.4

VK All in One Expansion Unit

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-11265
  • ✅ Soluzione: Aggiorna alla versione 9.112.2

Amelia Booking (seconda vulnerabilità)

  • Installazioni: 90.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2023-49282
  • ✅ Soluzione: Aggiorna alla versione 1.2.37

HT Mega for Elementor

  • Installazioni: 80.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13141
  • ✅ Soluzione: Aggiorna alla versione 3.0.1

LearnPress

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-11368
  • ✅ Soluzione: Aggiorna alla versione 4.3.0

Email Subscribers & Newsletters

  • Installazioni: 70.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12349
  • ✅ Soluzione: Aggiorna alla versione 5.9.11

FluentCRM

  • Installazioni: 70.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12935
  • ✅ Soluzione: Aggiorna alla versione 2.9.85

Blog2Social

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-13558
  • ✅ Soluzione: Aggiorna alla versione 8.7.1

User Profile Builder

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13054
  • ✅ Soluzione: Aggiorna alla versione 3.14.9

Pixel Manager for WooCommerce

  • Installazioni: 50.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-12545
  • ✅ Soluzione: Aggiorna alla versione 1.49.3

WP Duplicate Page

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12481
  • ✅ Soluzione: Aggiorna alla versione 1.8

RTMKit

  • Installazioni: 40.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-8609
  • ✅ Soluzione: Aggiorna alla versione 1.6.6

Custom Order Numbers for WooCommerce

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-66071
  • ✅ Soluzione: Aggiorna alla versione 1.11.1

Directorist

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12174
  • ✅ Soluzione: Aggiorna alla versione 8.5.3

New User Approve

  • Installazioni: 20.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-12770
  • ✅ Soluzione: Aggiorna alla versione 3.1.0

Quiz Maker

  • Installazioni: 20.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-12426
  • ✅ Soluzione: Aggiorna alla versione 6.7.0.81

PPOM for WooCommerce

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-66069
  • ✅ Soluzione: Aggiorna alla versione 33.0.17

Image Hover Effects Ultimate

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-5092
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

UiPress lite

  • Installazioni: 10.000+
  • Vulnerabilità: Multiple (Sensitive Data, XSS, Broken Access)
  • CVE: 2025-10938, 2025-11003, 2025-11815
  • ⚠️ Soluzione: Aggiorna alla 3.5.09 (solo per CVE 2025-11815)

Classified Listing

  • Installazioni: 10.000+
  • Vulnerabilità: Content Spoofing
  • CVE: 2025-7711
  • ✅ Soluzione: Aggiorna alla versione 5.0.4

Legal Pages

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-66077
  • ✅ Soluzione: Aggiorna alla versione 1.4.7

Photonic Gallery

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12691
  • ✅ Soluzione: Aggiorna alla versione 3.22

📊 Riepilogo settimanale

  • WordPress Core: Versione 6.8.3 rilasciata il 30 settembre 2025 con 2 fix di sicurezza. Nessuna nuova vulnerabilità core questa settimana.
  • WordPress 6.9: Attualmente in Release Candidate 3, rilascio finale previsto per il 2 dicembre 2025.
  • Plugin vulnerabili: 89 con patch disponibili, 74 senza correzione.
  • Tema vulnerabile: OnePress (2.469.341 download) – XSS senza patch (CVE 2025-5092).

⚠️ Ci sono altri 133 plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito o utilizza plugin come Wordfence, Sucuri o iThemes Security per una scansione completa.

🛡️ Raccomandazioni finali

  1. Aggiorna immediatamente tutti i plugin con patch critiche disponibili
  2. Disattiva temporaneamente i plugin critici senza patch fino al rilascio di un fix
  3. Esegui backup completi prima di ogni aggiornamento massivo
  4. Attiva un firewall applicativo (WAF) come Cloudflare o Sucuri
  5. Monitora i log di accesso per attività sospette
  6. Implementa autenticazione a due fattori per tutti gli account amministrativi